Ende vergangener Woche lief erstmals ein Routinetausch des Master-Schlüssels (Key Signing Key, KSK) für die zentrale Root Zone im weltweit benötigten Domain Name System (DNS). Offensichtlich erwischte der Rollover den irischen Breitband- und Mobilfunkanbieter Eir kalt: Wütende Nutzer meldeten ab Samstagabend zunehmend über alternative Kanäle Ausfälle ihrer Dienste, inklusive des TV-Angebots. Das Unternehmen entschuldigte sich, wie die BBC berichtete, mittlerweile schmallippig für ein "DNS Problem“.

Die Firma hatte spätestens seit 2013 die DNS-Validierung angeschaltet, wie eine Übersicht (PDF) von APNICs Chefwissenschaftler Geoff Huston bestätigt. Offenbar geschah das aus gutem Grund: 2009 war Eir Opfer breit diskutierter Cache-Poisoning-Attacken.

Da der ehemalige Staatsmonopolist zehnmal neue Hauptanteilseigner bekam in den vergangenen 20 Jahren und Aufgaben laut Experten verstärkt outsourcte, kann das Wissen schlicht verloren gegangen sein, dass der 2010 generierte KSK in eigene DNS-Resolver eingepflegt wurde. Nach Ablauf seiner Time-To-Live führte das Weiternutzen des alten KSK ab Samstag, 13.10.2018, 18:00 Uhr CEST zu massiven Einschränkungen bis hin zum Totalausfall von Diensten. Das Internet erscheint "tot", da ohne aktuellen Schlüssel alle DNS-Anfragen scheitern.

Zunächst schickte Eir seine Kunden am Wochenende auf Fehlersuche in deren lokalen Geräten. Am Samstag räumte das Unternehmen dann in zwei Tweets die eigenen Probleme ein und entschuldigte sich. Am Rande des laufenden RIPE-77-Treffens in Amsterdam sagte ein Experte, dass sich findige Eir-Nutzer teils durch das Umstellen auf Public Resolver geholfen hätten.

Willem Toorop von Nlnet Labs, der detaillierte Statistiken zum KSK Rollover hat, konnte bestätigen, dass wegen Validierungsproblemen Nutzer aus dem Eir-Netz zu Googles DNS-Servern wechselten (8.8.8.8/2001:4860:4860::8888 und 8.8.4.4/2001:4860:4860::8844). Das Problem war am Sonntag endlich irgendwann behoben. In Amsterdam berichteten Experten der ICANN, dass bislang erfolglos versucht wurde, den Eir-Vorfall zu klären.

Bei der Internet Corporation for Assigned Names and Numbers (ICANN) Insgesamt ist man mit dem Schlüsseltausch allerdings hoch zufrieden: Bei Ed Lewis, einem der DNS-Technikexperten der ICANN, kam eine einzige Fehlermeldung an. Über Centos, PowerDNS und Bind-Mailinglisten wurden vereinzelte Probleme kleiner Resolverbetreiber verbreitet, so Anand Buddhev, DNS-Experte des RIPE NCC.

Lewis mahnt, dass auch in den nächsten Wochen noch Hinweise zu Problemen und Fehleranalysen kommen könnten. Beispielsweise gab es, ironischerweise einer, die ICANN selbst nutzt, hart eingebaute alte KSKs bei mindestens einer Netzwerk-Monitoring-Software. Nach Ansicht der Experten zeigen die kleineren Ausfälle lediglich, dass künftig auch Anwendungen abseits klassischer DNS-Resolver beim Key Rollover Aufmerksamkeit geschenkt werden müsse.

Cloudflares Public-DNS-Dienst (1.1.1.1/2606:4700:4700::1111 und 1.0.0.1/2606:4700:4700::1001) lieferte bei der Aktivierung des neuen Schlüssels am vergangenen Freitag (11.10.2018) um 18:00 Uhr mitteleuropäischer Zeit den ersten großen Sprung. Jemand bei Cloudflare hatte via Public Interface die Erneuerung des Caches erzwungen und die Umstellung auf den neuen Schlüssel dadurch beschleunigt. Google machte aber laut Toorop am Samstag ebenfalls einen großen Satz, überließ das Auslaufen aber der TTL und damit den Umstieg sich selbst.

Die Tatsache, dass der Schlüsseltausch auf oberster DNS-Ebene so glimpflich über die Bühne ging, bescherte der ICANN bereits wenige Stunden später die Debatte, ob nun nicht monatlich oder doch mindestens jährlich der kryptographische Schlüssel gewechselt werden sollte. Der KSK Rollover ist allerdings erst vollständig abgeschlossen , wenn der alte Schlüssel im Frühjahr 2019 widerrufen sein wird, mahnt Lewis.

(mt, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE